Un hacker di lingua russa ha compromesso oltre 600 firewall FortiGate in 55 Paesi in cinque settimane, sfruttando credenziali deboli e interfacce esposte. Secondo Amazon, l’intelligenza artificiale generativa ha amplificato capacità tecniche medio-basse, automatizzando ricognizione e movimento laterale senza ricorrere a zero-day.
Amazon ha rivelato, tramite il CISO CJ Moses di Amazon Integrated Security, che la campagna si è svolta tra l’11 gennaio e il 18 febbraio 2026. Gli attacchi hanno colpito firewall FortiGate di Fortinet in Asia meridionale, America Latina, Caraibi, Africa occidentale, Europa settentrionale e Sud-est asiatico.
Secondo il rapporto, l’aggressore non ha utilizzato vulnerabilità zero-day, ma ha preso di mira interfacce di gestione esposte su Internet (porte 443, 8443, 10443, 4443) e password prive di MFA. Dopo l’accesso, ha esfiltrato configurazioni sensibili: credenziali SSL-VPN, account amministrativi, policy firewall, topologie di rete e configurazioni IPsec.
Gli strumenti di ricognizione – scritti in Go e Python – mostravano indicatori tipici di codice generato da IA: commenti ridondanti, parsing JSON semplificato, scarsa robustezza nei casi limite. L’analisi tecnica pubblicata dal blog Cyber and Ramen ha identificato un server (212.11.64.250) con oltre 1.400 file, inclusi dump di credenziali e output associati a modelli come Claude e DeepSeek. Un framework MCP personalizzato, denominato ARXON, fungeva da ponte tra dati di ricognizione e modelli linguistici per generare piani d’attacco strutturati.
Sono stati presi di mira anche server Veeam Backup & Replication, in linea con le tattiche ransomware che puntano a neutralizzare i backup prima della cifratura.
Amazon raccomanda di non esporre le interfacce di gestione, attivare MFA, segmentare le reti e rafforzare l’infrastruttura di backup. Il caso conferma quanto già segnalato da Google sull’uso improprio dell’IA nelle campagne cyber.
Approfondimento e cronologia
- 2019 – CVE-2019-7192 (QNAP RCE) evidenzia rischi su dispositivi edge. Fonte: NIST NVD
- 2023 – CVE-2023-27532 (Veeam info disclosure). Fonte: CISA
- 2024 – CVE-2024-40711 (Veeam RCE). Fonte: advisory Veeam
- 2026 – Rapporto Amazon su IA come moltiplicatore operativo nelle intrusioni.
Fonti istituzionali:
- NIST NVD: https://nvd.nist.gov
- CISA Alerts: https://www.cisa.gov/news-events/alerts
- Veeam Security Advisories: https://www.veeam.com/kb
Consigli di approfondimento:
- ENISA Threat Landscape: https://www.enisa.europa.eu
- Report Google su AI e cybersecurity: https://blog.google/threat-analysis-group/
Abstract: implicazioni etiche e sociali
L’episodio dimostra che l’IA generativa riduce le barriere d’ingresso nel cybercrime, trasformando attori medio-competenti in operatori scalabili. Tra i vantaggi: automazione difensiva e analisi accelerata delle minacce. Tra i rischi: escalation di attacchi opportunistici, esposizione di dati sensibili a modelli commerciali, responsabilità etica dei provider IA. In prospettiva, si impone un rafforzamento normativo su sicurezza-by-design, auditing dei modelli e tracciabilità degli usi impropri, per evitare un effetto moltiplicatore destabilizzante sul piano economico e geopolitico.
